R&W Abo Buch Datenbank Veranstaltungen Betriebs-Berater
 
BB - Betriebs-Berater
Header Pfeil
Wirtschaftsrecht
09.01.2025
Wirtschaftsrecht
EuGH: Datenverarbeitung im Beschäftigtenkontext und Umfang der gerichtlichen Kontrolle

EuGH, Urteil vom 19.12.2024 – C-65/23, MK gegen K GmbH

ECLI:EU:C:2024:1051

Volltext: BB-Online BBL2025-65-1

unter www.betriebs-berater.de

Tenor

1. Art. 88 Abs. 1 und 2 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass eine nach Art. 88 Abs. 1 dieser Verordnung erlassene nationale Rechtsvorschrift über die Verarbeitung personenbezogener Daten für die Zwecke von Beschäftigungsverhältnissen bewirken muss, dass ihre Adressaten nicht nur die Anforderungen erfüllen müssen, die sich aus Art. 88 Abs. 2 dieser Verordnung ergeben, sondern auch diejenigen, die sich aus Art. 5, Art. 6 Abs. 1 sowie Art. 9 Abs. 1 und 2 der Verordnung ergeben.

2. Art. 88 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass im Fall einer in den Anwendungsbereich dieser Bestimmung fallenden Kollektivvereinbarung der Spielraum der Parteien dieser Kollektivvereinbarung bei der Bestimmung der „Erforderlichkeit“ einer Verarbeitung personenbezogener Daten im Sinne von Art. 5, Art. 6 Abs. 1 sowie Art. 9 Abs. 1 und 2 dieser Verordnung das nationale Gericht nicht daran hindert, insoweit eine umfassende gerichtliche Kontrolle auszuüben.

 

Aus den Gründen

1          Das Vorabentscheidungsersuchen betrifft die Auslegung von Art. 82 Abs. 1 sowie von Art. 88 Abs. 1 und 2 in Verbindung mit Art. 5, Art. 6 Abs. 1 sowie Art. 9 Abs. 1 und 2 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1, berichtigt in ABl. 2018, L 127, S. 2, im Folgenden: DSGVO).

 

2          Es ergeht im Rahmen eines Rechtsstreits zwischen MK, einer natürlichen Person, und der K GmbH, ihrem Arbeitgeber, über den Ersatz des immateriellen Schadens, der dieser Person durch eine Verarbeitung ihrer personenbezogenen Daten durch die genannte Gesellschaft auf der Grundlage einer Betriebsvereinbarung entstanden sein soll.

 

Rechtlicher Rahmen

Unionsrecht

3          In den Erwägungsgründen 8, 10 und 155 DSGVO heißt es:

„(8) Wenn in dieser Verordnung Präzisierungen oder Einschränkungen ihrer Vorschriften durch das Recht der Mitgliedstaaten vorgesehen sind, können die Mitgliedstaaten Teile dieser Verordnung in ihr nationales Recht aufnehmen, soweit dies erforderlich ist, um die Kohärenz zu wahren und die nationalen Rechtsvorschriften für die Personen, für die sie gelten, verständlicher zu machen.

(10) Um ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen zu gewährleisten und die Hemmnisse für den Verkehr personenbezogener Daten in der [Europäischen] Union zu beseitigen, sollte das Schutzniveau für die Rechte und Freiheiten von natürlichen Personen bei der Verarbeitung dieser Daten in allen Mitgliedstaaten gleichwertig sein. Die Vorschriften zum Schutz der Grundrechte und Grundfreiheiten von natürlichen Personen bei der Verarbeitung personenbezogener Daten sollten unionsweit gleichmäßig und einheitlich angewandt werden. … Diese Verordnung bietet den Mitgliedstaaten zudem einen Spielraum für die Spezifizierung ihrer Vorschriften, auch für die Verarbeitung besonderer Kategorien von personenbezogenen Daten (im Folgenden ‚sensible Daten‘). Diesbezüglich schließt diese Verordnung nicht Rechtsvorschriften der Mitgliedstaaten aus, in denen die Umstände besonderer Verarbeitungssituationen festgelegt werden, einschließlich einer genaueren Bestimmung der Voraussetzungen, unter denen die Verarbeitung personenbezogener Daten rechtmäßig ist.

(155) Im Recht der Mitgliedstaaten oder in Kollektivvereinbarungen (einschließlich ‚Betriebsvereinbarungen‘) können spezifische Vorschriften für die Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext vorgesehen werden, und zwar insbesondere Vorschriften über die Bedingungen, unter denen personenbezogene Daten im Beschäftigungskontext auf der Grundlage der Einwilligung des Beschäftigten verarbeitet werden dürfen, über die Verarbeitung dieser Daten für Zwecke der Einstellung, der Erfüllung des Arbeitsvertrags einschließlich der Erfüllung von durch Rechtsvorschriften oder durch Kollektivvereinbarungen festgelegten Pflichten, des Managements, der Planung und der Organisation der Arbeit, der Gleichheit und Diversität am Arbeitsplatz, der Gesundheit und Sicherheit am Arbeitsplatz sowie für Zwecke der Inanspruchnahme der mit der Beschäftigung zusammenhängenden individuellen oder kollektiven Rechte und Leistungen und für Zwecke der Beendigung des Beschäftigungsverhältnisses.“

 

4          Art. 4 („Begriffsbestimmungen“) dieser Verordnung bestimmt:

„Im Sinne dieser Verordnung bezeichnet der Ausdruck:

1.  ‚personenbezogene Daten‘ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden ‚betroffene Person‘) beziehen; …

2. ‚Verarbeitung‘ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten …

7. ‚Verantwortlicher‘ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; …

…“

 

5          Kapitel II („Grundsätze“) DSGVO umfasst deren Art. 5 bis 11.

 

6          Art. 5 („Grundsätze für die Verarbeitung personenbezogener Daten“) DSGVO sieht vor:

„(1) Personenbezogene Daten müssen

c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (,Datenminimierung‘);

f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen (‚Integrität und Vertraulichkeit‘);

(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können (,Rechenschaftspflicht‘).“

 

7          Art. 6 („Rechtmäßigkeit der Verarbeitung“) DSGVO bestimmt:

„(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;

d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;

e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.

(2) Die Mitgliedstaaten können spezifischere Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung in Bezug auf die Verarbeitung zur Erfüllung von Absatz 1 Buchstaben c und e beibehalten oder einführen, indem sie spezifische Anforderungen für die Verarbeitung sowie sonstige Maßnahmen präziser bestimmen, um eine rechtmäßig und nach Treu und Glauben erfolgende Verarbeitung zu gewährleisten, einschließlich für andere besondere Verarbeitungssituationen gemäß Kapitel IX.

(3) Die Rechtsgrundlage für die Verarbeitungen gemäß Absatz 1 Buchstaben c und e wird festgelegt durch

a) Unionsrecht oder

b) das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt.

… Diese Rechtsgrundlage kann spezifische Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung enthalten, unter anderem Bestimmungen darüber, welche allgemeinen Bedingungen für die Regelung der Rechtmäßigkeit der Verarbeitung durch den Verantwortlichen gelten, welche Arten von Daten verarbeitet werden, welche Personen betroffen sind, an welche Einrichtungen und für welche Zwecke die personenbezogenen Daten offengelegt werden dürfen, welcher Zweckbindung sie unterliegen, wie lange sie gespeichert werden dürfen und welche Verarbeitungsvorgänge und ‑verfahren angewandt werden dürfen, einschließlich Maßnahmen zur Gewährleistung einer rechtmäßig und nach Treu und Glauben erfolgenden Verarbeitung, wie solche für sonstige besondere Verarbeitungssituationen gemäß Kapitel IX. …

…“

 

8          In Art. 9 („Verarbeitung besonderer Kategorien personenbezogener Daten“) DSGVO heißt es:

„(1) Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.

(2) Absatz 1 gilt nicht in folgenden Fällen:

a) Die betroffene Person hat in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt, es sei denn, nach Unionsrecht oder dem Recht der Mitgliedstaaten kann das Verbot nach Absatz 1 durch die Einwilligung der betroffenen Person nicht aufgehoben werden,

b) die Verarbeitung ist erforderlich, damit der Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann, soweit dies nach Unionsrecht oder dem Recht der Mitgliedstaaten oder einer Kollektivvereinbarung nach dem Recht der Mitgliedstaaten, das geeignete Garantien für die Grundrechte und die Interessen der betroffenen Person vorsieht, zulässig ist,

…“

 

9          Art. 82 („Haftung und Recht auf Schadenersatz“) Abs. 1 in Kapitel VIII („Rechtsbehelfe, Haftung und Sanktionen“) DSGVO sieht vor:

„Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“

 

10        Art. 88 („Datenverarbeitung im Beschäftigungskontext“) Abs. 1 und 2 in Kapitel IX („Vorschriften für besondere Verarbeitungssituationen“) DSGVO sieht vor:

 

„(1) Die Mitgliedstaaten können durch Rechtsvorschriften oder durch Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext, insbesondere für Zwecke der Einstellung, der Erfüllung des Arbeitsvertrags einschließlich der Erfüllung von durch Rechtsvorschriften oder durch Kollektivvereinbarung festgelegten Pflichten, des Managements, der Planung und der Organisation der Arbeit, der Gleichheit und Diversität am Arbeitsplatz, der Gesundheit und Sicherheit am Arbeitsplatz, des Schutzes des Eigentums der Arbeitgeber oder der Kunden sowie für Zwecke der Inanspruchnahme der mit der Beschäftigung zusammenhängenden individuellen oder kollektiven Rechte und Leistungen und für Zwecke der Beendigung des Beschäftigungsverhältnisses vorsehen.

 

(2) Diese Vorschriften umfassen geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person, insbesondere im Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und die Überwachungssysteme am Arbeitsplatz.“

 

11        Art. 99 („Inkrafttreten und Anwendung“) DSGVO hat folgenden Wortlaut:

„(1) Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

(2) Sie gilt ab dem 25. Mai 2018.“

 

Deutsches Recht

12        § 26 („Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses“) des Bundesdatenschutzgesetzes vom 30. Juni 2017 (BGBl. 2017 I S. 2097, im Folgenden: BDSG) sieht in den Abs. 1 und 4 vor:

„(1) Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist. …

(4) Die Verarbeitung personenbezogener Daten, einschließlich besonderer Kategorien personenbezogener Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses, ist auf der Grundlage von Kollektivvereinbarungen zulässig. Dabei haben die Verhandlungspartner Artikel 88 Absatz 2 [DSGVO] zu beachten.“

 

Ausgangsverfahren und Vorlagefragen

13        Der Kläger des Ausgangsverfahrens ist bei der Beklagten des Ausgangsverfahrens, einer Gesellschaft deutschen Rechts, beschäftigt und Vorsitzender des bei dieser Gesellschaft gebildeten Betriebsrats.

 

14        Ursprünglich verarbeitete diese Gesellschaft bestimmte personenbezogene Daten ihrer Beschäftigten, insbesondere zu Abrechnungszwecken, im Rahmen der Nutzung einer „SAP“ genannten Software (im Folgenden: SAP-Software) und schloss hierzu mit ihrem Betriebsrat mehrere Betriebsvereinbarungen ab.

 

15        Der D-Konzern, zu dem die Beklagte des Ausgangsverfahrens gehört (im Folgenden: D-Konzern), führte im Jahr 2017 konzernweit die cloudbasierte Software „Workday“ (im Folgenden: Software Workday) als einheitliches Personal‑Informationsmanagementsystem ein. In diesem Rahmen übertrug die Beklagte des Ausgangsverfahrens verschiedene personenbezogene Daten ihrer Beschäftigten aus der SAP-Software auf einen Server der Muttergesellschaft des D-Konzerns mit Standort in den USA.

 

16        Am 3. Juli 2017 unterzeichneten die Beklagte des Ausgangsverfahrens und ihr Betriebsrat eine „Duldungs-Betriebsvereinbarung über die Einführung von Workday“ (im Folgenden: Duldungs-Betriebsvereinbarung), die u. a. verbot, diese Software während des Testzeitraums für die Personalverwaltung, wie etwa die Bewertung von Arbeitnehmern, zu verwenden. Gemäß Anhang 2 dieser Vereinbarung waren die einzigen Datenkategorien, die zur Befüllung der Software Workday übertragen werden durften, die Personalnummer des Arbeitnehmers im D-Konzern, sein Nachname, sein Vorname, seine Telefonnummer, sein Eintrittsdatum in die betroffene Gesellschaft, sein Eintrittsdatum in den D-Konzern, sein Arbeitsort, die Firma der betroffenen Gesellschaft sowie seine geschäftliche Telefonnummer und seine geschäftliche E‑Mail-Adresse. Die Wirkungen dieser Vereinbarung wurden bis zum Inkrafttreten einer am 23. Januar 2019 geschlossenen endgültigen Betriebsvereinbarung verlängert.

 

17        In diesem Zusammenhang erhob der Kläger des Ausgangsverfahrens beim örtlich zuständigen Arbeitsgericht (Deutschland) und dann beim örtlich zuständigen Landesarbeitsgericht (Deutschland) Klagen auf Zugang zu bestimmten Informationen, auf Löschung ihn betreffender Daten und auf Schadensersatz. Er machte u. a. geltend, dass die Beklagte des Ausgangsverfahrens ihn betreffende personenbezogene Daten auf den Server der Muttergesellschaft übertragen habe, von denen einige in der Duldungs-Betriebsvereinbarung nicht genannt seien, insbesondere seine privaten Kontaktdaten, seine Vertrags- und Vergütungsdetails, seine Sozialversicherungsnummer, seine Steuer‑Identifikationsnummer, seine Staatsangehörigkeit und seinen Familienstand.

 

18        Da er nicht vollständig obsiegt hatte, legte der Kläger des Ausgangsverfahrens Revision beim Bundesarbeitsgericht (Deutschland), dem vorlegenden Gericht, ein. Noch anhängig ist nur der auf die DSGVO gestützte Antrag des Klägers des Ausgangsverfahrens auf Ersatz des immateriellen Schadens, der ihm durch eine rechtswidrige Verarbeitung seiner personenbezogenen Daten mittels der Software Workday während des Zeitraums ab dem ersten Geltungstag dieser Verordnung, d. h. dem 25. Mai 2018, bis zum Ende des ersten Quartals 2019 entstanden sein soll.

 

19        Zur Rechtswidrigkeit dieser Verarbeitung macht der Kläger des Ausgangsverfahrens zum einen geltend, dass diese weder für das Arbeitsverhältnis, für das die Beklagte des Ausgangsverfahrens vormals die SAP-Software verwendet habe, noch für die Erprobung der Software Workday erforderlich gewesen sei, da zu diesem Zweck die Verwendung fiktiver Daten ausgereicht und sichergestellt hätte, dass innerhalb des D-Konzerns keine Echtdaten zugänglich gemacht würden. Zum anderen wäre, selbst wenn die Duldungs-Betriebsvereinbarung eine gültige Grundlage für diese Verarbeitung darstellen könnte, die darin enthaltene Erlaubnis überschritten worden, da die Beklagte des Ausgangsverfahrens andere als die in Anhang 2 dieser Vereinbarung vorgesehenen Daten übermittelt habe. Schließlich liege die Beweislast für die Vereinbarkeit ihres Verhaltens mit der DSGVO bei der Beklagten des Ausgangsverfahrens.

 

20        Die Beklagte des Ausgangsverfahrens wendet ein, dass die in Rede stehende Verarbeitung den Anforderungen der DSGVO entspreche, die Beweislast beim Kläger des Ausgangsverfahrens liege und dieser weder das Vorliegen eines immateriellen Schadens noch den Kausalzusammenhang zwischen einem etwaigen Verstoß gegen die DSGVO und dem geltend gemachten Schaden nachgewiesen habe.

 

21        Das vorlegende Gericht ist der Ansicht, dass die vom Kläger des Ausgangsverfahrens beanstandeten Vorgänge in den sachlichen Anwendungsbereich der DSGVO fielen, da sie eine „Verarbeitung“ „personenbezogener Daten“ dieser „betroffenen Person“ im Sinne von Art. 4 Nrn. 1 und 2 DSGVO darstellten. Zudem sei die Beklagte des Ausgangsverfahrens „Verantwortliche“ im Sinne von Art. 4 Nr. 7 dieser Verordnung. Was den zeitlichen Anwendungsbereich der Verordnung angehe, habe die Verarbeitung zwar vor dem ersten Geltungstag der Verordnung begonnen, sei aber nach diesem Zeitpunkt wegen mehrerer Verlängerungen der ursprünglichen Wirkungen der Duldungs-Betriebsvereinbarung fortgesetzt worden.

 

22        In diesem Zusammenhang stellt sich das vorlegende Gericht erstens die Frage, ob eine nationale Norm, wie § 26 Abs. 4 BDSG, die die Verarbeitung personenbezogener Daten für die Zwecke von Beschäftigungsverhältnissen regelt und im Wesentlichen vorsieht, dass eine solche Verarbeitung auf der Grundlage von Kollektivvereinbarungen unter Beachtung von Art. 88 Abs. 2 DSGVO zulässig ist, mit dieser Verordnung vereinbar ist oder ob die betreffende Verarbeitung zu diesem Zweck auch mit den übrigen Bestimmungen dieser Verordnung vereinbar sein muss. Das vorlegende Gericht neigt zu der Auffassung, dass im Fall einer durch eine „Kollektivvereinbarung“ im Sinne von Art. 88 DSGVO geregelten Verarbeitung personenbezogener Beschäftigtendaten diese Verarbeitung nicht nur von den sich aus Art. 88 ergebenden Anforderungen nicht abweichen dürfe, sondern auch nicht von denen, die sich aus Art. 5, Art. 6 Abs. 1 sowie Art. 9 Abs. 1 und 2 DSGVO ergäben, insbesondere was das in den drei letztgenannten Artikeln vorgesehene Kriterium der Erforderlichkeit der Verarbeitung angehe.

 

23        Für den Fall, dass die erste Frage bejaht wird, möchte das vorlegende Gericht zweitens wissen, ob die Parteien einer solchen Kollektivvereinbarung über einen Spielraum verfügen, der bei der Beurteilung der Erforderlichkeit der betreffenden Verarbeitung im Sinne von Art. 5, Art. 6 Abs. 1 sowie Art. 9 Abs. 1 und 2 DSGVO nur einer eingeschränkten gerichtlichen Kontrolle unterliegen sollte. Diese Auffassung lasse sich auf die Erwägung stützen, dass diese Parteien eine große Sachnähe besäßen und im Regelfall zu einem angemessenen Interessenausgleich gekommen seien. Die Rechtsprechung des Gerichtshofs zu anderen Rechtsakten des Unionsrechts, insbesondere die Urteile vom 7. Februar 1991, Nimz (C‑184/89, EU:C:1991:50), und vom 20. März 2003, Kutz-Bauer (C‑187/00, EU:C:2003:168), deute jedoch eher darauf hin, dass die Bestimmungen einer Kollektivvereinbarung, die in den Anwendungsbereich des Unionsrechts falle, diesem nicht zuwiderlaufen dürften und dass solche Bestimmungen gegebenenfalls unangewendet gelassen werden müssten.

 

24        Drittens möchte das vorlegende Gericht für den Fall, dass seine zweite Frage bejaht wird, wissen, auf welche Beurteilungskriterien es gegebenenfalls seine gerichtliche Kontrolle zu beschränken hat.

 

25        Schließlich betrafen die ursprünglich vorgelegten Fragen 4 bis 6, bevor diese vom vorlegenden Gericht zurückgenommen wurden, im Wesentlichen das Recht auf immateriellen Schadenersatz nach Art. 82 Abs. 1 DSGVO.

 

26        Unter diesen Umständen hat das Bundesarbeitsgericht beschlossen, das Verfahren auszusetzen und dem Gerichtshof folgende Fragen zur Vorabentscheidung vorzulegen:

1. Ist eine nach Art. 88 Abs. 1 DSGVO erlassene nationale Rechtsvorschrift – wie etwa § 26 Abs. 4 BDSG –, in der bestimmt ist, dass die Verarbeitung personenbezogener Daten – einschließlich besonderer Kategorien personenbezogener Daten – von Beschäftigten für Zwecke des Beschäftigungsverhältnisses auf der Grundlage von Kollektivvereinbarungen unter Beachtung von Art. 88 Abs. 2 DSGVO zulässig ist, dahin auszulegen, dass stets auch die sonstigen Vorgaben der DSGVO – wie etwa Art. 5, Art. 6 Abs. 1 und Art. 9 Abs. 1 und Abs. 2 DSGVO – einzuhalten sind?

2. Sofern Frage 1 bejaht wird:

Darf eine nach Art. 88 Abs. 1 DSGVO erlassene nationale Rechtsvorschrift – wie § 26 Abs. 4 BDSG – dahin ausgelegt werden, dass den Parteien einer Kollektivvereinbarung (hier den Parteien einer Betriebsvereinbarung) bei der Beurteilung der Erforderlichkeit der Datenverarbeitung im Sinne der Art. 5, Art. 6 Abs. 1 und Art. 9 Abs. 1 und Abs. 2 DSGVO ein Spielraum zusteht, der gerichtlich nur eingeschränkt überprüfbar ist?

3. Sofern Frage 2 bejaht wird:

Worauf darf in einem solchen Fall die gerichtliche Kontrolle beschränkt werden?

4. Ist Art. 82 Abs. 1 DSGVO dahin auszulegen, dass Personen ein Recht auf Ersatz des immateriellen Schadens bereits dann haben, wenn ihre personenbezogenen Daten entgegen den Vorgaben der DSGVO verarbeitet wurden, oder setzt der Anspruch auf Ersatz des immateriellen Schadens darüber hinaus voraus, dass die betroffene Person einen von ihr erlittenen immateriellen Schaden – von einigem Gewicht – darlegt?

5. Hat Art. 82 Abs. 1 DSGVO spezial- bzw. generalpräventiven Charakter und muss dies bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO zulasten des Verantwortlichen bzw. Auftragsverarbeiters berücksichtigt werden?

6. Kommt es bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO auf den Grad des Verschuldens des Verantwortlichen bzw. Auftragsverarbeiters an? Insbesondere, darf ein nicht vorliegendes oder geringes Verschulden auf Seiten des Verantwortlichen bzw. Auftragsverarbeiters zu dessen Gunsten berücksichtigt werden?

 

Verfahren vor dem Gerichtshof

27        Durch Entscheidung des Präsidenten des Gerichtshofs vom 24. Januar 2024, wurden dem vorlegenden Gericht die Urteile vom 4. Mai 2023, Österreichische Post (Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten) (C‑300/21, EU:C:2023:370), vom 14. Dezember 2023, Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:986), vom 14. Dezember 2023, Gemeinde Ummendorf (C‑456/22, EU:C:2023:988), vom 21. Dezember 2023, Krankenversicherung Nordrhein (C‑667/21, EU:C:2023:1022), und vom 25. Januar 2024, MediaMarktSaturn (C‑687/21, EU:C:2024:72), zugestellt, damit es erkläre, ob es in Anbetracht dieser Urteile sein Vorabentscheidungsersuchen, insbesondere hinsichtlich der Fragen 4 bis 6, aufrechterhalten möchte.

 

28        Durch Entscheidung des Präsidenten des Gerichtshofs vom 15. März 2024 ist das Verfahren gemäß Art. 55 Abs. 1 Buchst. b der Verfahrensordnung des Gerichtshofs bis zum Eingang der Antwort auf diese Frage ausgesetzt worden.

 

29        Mit schriftlicher Mitteilung, die am 8. Mai 2024 beim Gerichtshof eingegangen ist, hat das vorlegende Gericht den Gerichtshof darüber informiert, dass es seine Fragen 4 bis 6 zurücknehme, seine Fragen 1 bis 3 jedoch aufrechterhalte.

 

Zur Zulässigkeit des Vorabentscheidungsersuchens

30        Die Beklagte des Ausgangsverfahrens macht geltend, die Fragen 1 bis 3 seien unzulässig, da sie für die Entscheidung des beim vorlegenden Gericht anhängigen Rechtsstreits nicht erheblich seien. Im Wesentlichen macht sie geltend, der Kläger des Ausgangsverfahrens wende sich nicht gegen den Inhalt der im vorliegenden Fall anwendbaren Betriebsvereinbarung, sondern gegen eine Überschreitung der Grenzen dieser Vereinbarung durch die in Rede stehende Datenverarbeitung, so dass dieser Rechtsstreit keinen Verstoß gegen die Anforderungen von Art. 88 DSGVO im Zusammenhang mit einer solchen Vereinbarung zum Gegenstand habe. Überdies seien diese Fragen hypothetisch, da sie darauf abzielten, es dem vorlegenden Gericht zu ermöglichen, die Rechtmäßigkeit dieser Verarbeitung insgesamt und nicht nur in Bezug auf die vom Kläger des Ausgangsverfahrens beanstandeten Punkte zu überprüfen.

 

31        Hierzu ist darauf hinzuweisen, dass es nach ständiger Rechtsprechung allein Sache des nationalen Gerichts ist, das mit dem Rechtsstreit befasst ist und in dessen Verantwortungsbereich die zu erlassende Entscheidung fällt, anhand der Besonderheiten der Rechtssache sowohl die Erforderlichkeit einer Vorabentscheidung für den Erlass seines Urteils als auch die Erheblichkeit der Fragen zu beurteilen, die es dem Gerichtshof vorlegt, wobei für die Fragen eine Vermutung der Entscheidungserheblichkeit gilt. Der Gerichtshof ist folglich grundsätzlich gehalten, über die ihm vorgelegte Frage zu befinden, wenn sie die Auslegung oder die Gültigkeit einer Vorschrift des Unionsrechts betrifft, es sei denn, dass die erbetene Auslegung offensichtlich in keinem Zusammenhang mit den Gegebenheiten oder dem Gegenstand des Ausgangsrechtsstreits steht, dass das Problem hypothetischer Natur ist oder dass der Gerichtshof nicht über die tatsächlichen und rechtlichen Angaben verfügt, die für eine zweckdienliche Beantwortung der Frage erforderlich sind (Urteil vom 20. Juni 2024, Scalable Capital, C‑182/22 und C‑189/22, EU:C:2024:531, Rn. 18 und die dort angeführte Rechtsprechung).

 

32        Im vorliegenden Fall betreffen die Fragen 1 bis 3 die Auslegung mehrerer Bestimmungen des Unionsrechts, insbesondere von Art. 88 in Verbindung mit den Art. 5, 6 und 9 DSGVO. Zudem ist das vorlegende Gericht der Ansicht, dass die in der im vorliegenden Fall anwendbaren Betriebsvereinbarung, die es als „Kollektivvereinbarung“ im Sinne der DSGVO einstuft, festgelegten Grenzen überschritten worden seien und die im Ausgangsverfahren in Rede stehende Verarbeitung personenbezogener Daten in ihrer Gesamtheit geprüft werden müsse, da sie sowohl im Hinblick auf § 26 Abs. 1 als auch im Hinblick auf § 26 Abs. 4 BDSG, der ausdrücklich auf Art. 88 DSGVO Bezug nehme, rechtswidrig sein könnte.

 

33        Das Vorabentscheidungsersuchen ist daher zulässig.

 

Zu den Vorlagefragen

Zur ersten Frage

34        Mit seiner ersten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 88 Abs. 1 und 2 DSGVO dahin auszulegen ist, dass eine nach Art. 88 Abs. 1 dieser Verordnung erlassene nationale Rechtsvorschrift über die Verarbeitung personenbezogener Daten für die Zwecke von Beschäftigungsverhältnissen bewirken muss, dass ihre Adressaten nicht nur die Anforderungen erfüllen müssen, die sich aus Art. 88 Abs. 2 dieser Verordnung ergeben, sondern auch diejenigen, die sich aus Art. 5, Art. 6 Abs. 1 sowie Art. 9 Abs. 1 und 2 der Verordnung ergeben.

 

35        Insoweit ist darauf hinzuweisen, dass die DSGVO eine grundsätzlich vollständige Harmonisierung der nationalen Rechtsvorschriften zum Schutz personenbezogener Daten sicherstellen soll. Allerdings eröffnen einzelne Bestimmungen dieser Verordnung den Mitgliedstaaten die Möglichkeit, zusätzliche, strengere oder einschränkende, nationale Vorschriften vorzusehen, und lassen ihnen ein Ermessen hinsichtlich der Art und Weise der Durchführung dieser Bestimmungen („Öffnungsklauseln“) (vgl. in diesem Sinne Urteil vom 30. März 2023, Hauptpersonalrat der Lehrerinnen und Lehrer, C‑34/21, EU:C:2023:270, Rn. 51 und die dort angeführte Rechtsprechung).

 

36        Art. 88 DSGVO, der die Verarbeitung personenbezogener Daten im Beschäftigungskontext betrifft, legt die Bedingungen fest, unter denen die Mitgliedstaaten durch Rechtsvorschriften oder durch Kollektivvereinbarungen „spezifischere Vorschriften“ zur Gewährleistung des Schutzes der Rechte und Freiheiten der von einer solchen Verarbeitung betroffenen Beschäftigten vorsehen können. Im 155. Erwägungsgrund dieser Verordnung heißt es u. a., dass der Begriff „Kollektivvereinbarung“ im Sinne von Art. 88 DSGVO „Betriebsvereinbarungen“ wie die im Ausgangsverfahren in Rede stehende einschließt. Ferner enthalten die Art. 5, 6 und 9 dieser Verordnung die Grundsätze für die Verarbeitung personenbezogener Daten, die Rechtmäßigkeitsvoraussetzungen dieser Verarbeitung und Vorschriften für die Verarbeitung besonderer Kategorien personenbezogener Daten.

 

37        Nach ständiger Rechtsprechung müssen die Begriffe einer Bestimmung des Unionsrechts, die – wie Art. 88 DSGVO – für die Ermittlung ihres Sinnes und ihrer Tragweite nicht ausdrücklich auf das Recht der Mitgliedstaaten verweist, in der Regel in der gesamten Union eine autonome und einheitliche Auslegung erhalten, die insbesondere unter Berücksichtigung des Wortlauts der betreffenden Bestimmung, der mit ihr verfolgten Ziele und des Zusammenhangs, in den sie sich einfügt, zu ermitteln ist (vgl. entsprechend Urteil vom 14. Dezember 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, Rn. 23 und die dort angeführte Rechtsprechung).

 

38        Erstens ergibt sich aus dem Wortlaut von Art. 88 DSGVO, dass in dessen Abs. 1 verlangt wird, dass die nach dieser Bestimmung zugelassenen „spezifischeren Vorschriften“ einen zu dem geregelten Bereich passenden Regelungsgehalt haben, der sich von den allgemeinen Regeln der DSGVO unterscheidet, während Art. 88 Abs. 2 DSGVO im Einklang mit dem Harmonisierungsziel dieser Verordnung dem Ermessen der Mitgliedstaaten, die den Erlass einer nationalen Regelung auf der Grundlage dieses Abs. 1 beabsichtigen, einen Rahmen setzt (vgl. in diesem Sinne Urteil vom 30. März 2023, Hauptpersonalrat der Lehrerinnen und Lehrer, C‑34/21, EU:C:2023:270, Rn. 61, 65, 72 und 75).

 

39        Indessen enthält dieser Wortlaut keinen ausdrücklichen Hinweis darauf, ob die „spezifischeren Vorschriften“, die die Mitgliedstaaten somit erlassen können, der Einhaltung nur der in Art. 88 Abs. 2 DSGVO genannten Anforderungen Rechnung tragen müssen oder auch der Einhaltung der Anforderungen in anderen Bestimmungen dieser Verordnung, so dass die Verarbeitung personenbezogener Daten in Anwendung solcher Vorschriften überdies mit diesen letztgenannten Bestimmungen im Einklang stehen müsste.

 

40        Zweitens hat der Gerichtshof zu den Zielen von Art. 88 DSGVO bereits entschieden, dass dieser Artikel eine „Öffnungsklausel“ darstellt und dass sich die den Mitgliedstaaten durch Art. 88 Abs. 1 DSGVO eingeräumte Befugnis unter Berücksichtigung der Besonderheiten einer solchen Verarbeitung insbesondere durch das Bestehen eines Unterordnungsverhältnisses zwischen dem Beschäftigten und demjenigen, der ihn beschäftigt, erklärt. Die Vorgaben von Art. 88 Abs. 2 DSGVO spiegeln die Grenzen des Ermessens der Mitgliedstaaten in dem Sinne wider, dass der damit verbundene Bruch in der Harmonisierung nur zulässig sein kann, wenn die verbleibenden Unterschiede mit besonderen und geeigneten Garantien zum Schutz der Rechte und Freiheiten der Beschäftigten hinsichtlich der Verarbeitung ihrer personenbezogenen Daten im Beschäftigungskontext einhergehen (vgl. in diesem Sinne Urteil vom 30. März 2023, Hauptpersonalrat der Lehrerinnen und Lehrer, C‑34/21, EU:C:2023:270, Rn. 52, 53 und 73).

 

41        Ferner hat der Gerichtshof darauf hingewiesen, dass die Mitgliedstaaten, wenn sie von der ihnen durch Art. 88 DSGVO eingeräumten Befugnis Gebrauch machen, von ihrem Ermessen unter den Voraussetzungen und innerhalb der Grenzen der Bestimmungen dieser Verordnung Gebrauch machen und daher Rechtsvorschriften erlassen müssen, die nicht gegen den Inhalt und die Ziele der DSGVO verstoßen, die, wie sich aus ihrem zehnten Erwägungsgrund ergibt, u. a. ein hohes Schutzniveau für die Rechte und Freiheiten der von einer solchen Verarbeitung betroffenen Personen gewährleisten soll. Daher müssen die von einem Mitgliedstaat auf der Grundlage von Art. 88 DSGVO erlassenen Vorschriften zum Ziel haben, die Rechte und Freiheiten der Beschäftigten hinsichtlich der Verarbeitung ihrer personenbezogenen Daten zu schützen (vgl. in diesem Sinne Urteil vom 30. März 2023, Hauptpersonalrat der Lehrerinnen und Lehrer, C‑34/21, EU:C:2023:270, Rn. 54, 59, 62 und 74).

 

42        Art. 88 DSGVO kann aber nicht dahin ausgelegt werden, dass die „spezifischeren Vorschriften“, die die Mitgliedstaaten nach diesem Artikel erlassen dürfen, die Umgehung der sich aus anderen Bestimmungen dieser Verordnung ergebenden Verpflichtungen des Verantwortlichen oder gar des Auftragsverarbeiters bezwecken oder bewirken könnten, da sonst alle diese Ziele, insbesondere das Ziel, ein hohes Schutzniveau für die Beschäftigten im Fall der Verarbeitung ihrer personenbezogenen Daten im Beschäftigungskontext sicherzustellen, beeinträchtigt würden.

 

43        Daraus folgt, dass Art. 88 Abs. 1 und 2 DSGVO dahin auszulegen ist, dass auch dann, wenn sich die Mitgliedstaaten auf diesen Artikel stützen, um in ihre jeweiligen innerstaatlichen Rechtsordnungen „spezifischere Vorschriften“ durch Rechtsvorschriften oder durch Kollektivvereinbarungen einzuführen, auch die Anforderungen erfüllt sein müssen, die sich aus den anderen Bestimmungen ergeben, auf die sich die vorliegende Frage speziell bezieht, nämlich Art. 5, Art. 6 Abs. 1 sowie Art. 9 Abs. 1 und 2 dieser Verordnung. Dies gilt somit u. a. für die Einhaltung des in diesen Bestimmungen vorgesehenen Kriteriums der Erforderlichkeit der Verarbeitung, nach dem das vorlegende Gericht insbesondere fragt.

 

44        Drittens bestätigt der Kontext, in den sich Art. 88 DSGVO einfügt, diese Auslegung.

 

45        Art. 88 DSGVO ist nämlich in deren Kapitel IX („Vorschriften für besondere Verarbeitungssituationen“) enthalten, während die Art. 5, 6 und 9 zu Kapitel II („Grundsätze“) DSGVO gehören, das somit allgemeinere Tragweite hat. Im Übrigen geht aus dem Wortlaut von Art. 6 DSGVO, der in seinen Abs. 2 und 3 ausdrücklich auf die Bestimmungen dieses Kapitels IX Bezug nimmt, klar hervor, dass die in diesem Art. 6 vorgesehenen Rechtmäßigkeitsvoraussetzungen auch im Rahmen der in den Bestimmungen des Kapitels IX der Verordnung geregelten „besonderen Situationen“ verbindlich sind.

 

46        Zudem müssen nach ständiger Rechtsprechung bei jeder Verarbeitung personenbezogener Daten die in Kapitel II DSGVO aufgestellten Grundsätze für die Verarbeitung solcher Daten sowie die in Kapitel III DSGVO geregelten Rechte der betroffenen Person beachtet werden. Insbesondere muss die Verarbeitung mit den in Art. 5 der Verordnung aufgestellten Grundsätzen für die Verarbeitung dieser Daten im Einklang stehen und die in Art. 6 der Verordnung aufgezählten Voraussetzungen für die Rechtmäßigkeit der Verarbeitung erfüllen (vgl. in diesem Sinne Urteile vom 2. März 2023, Norra Stockholm Bygg, C‑268/21, EU:C:2023:145, Rn. 43, und vom 11. Juli 2024, Meta Platforms Ireland [Verbandsklage], C‑757/22, EU:C:2024:598, Rn. 49 und die dort angeführte Rechtsprechung).

 

47        Was insbesondere das Verhältnis zwischen Art. 88 DSGVO und anderen Bestimmungen dieser Verordnung betrifft, hat der Gerichtshof u. a. im Licht des achten Erwägungsgrundes dieser Verordnung festgestellt, dass ungeachtet etwaiger von den Mitgliedstaaten auf der Grundlage von Art. 88 Abs. 1 dieser Verordnung erlassener „spezifischerer Vorschriften“ bei jeder Verarbeitung personenbezogener Daten die Verpflichtungen beachtet werden müssen, die sich aus den Bestimmungen der Kapitel II und III DSGVO sowie insbesondere aus deren Art. 5 und 6 ergeben (vgl. in diesem Sinne Urteil vom 30. März 2023, Hauptpersonalrat der Lehrerinnen und Lehrer, C‑34/21, EU:C:2023:270, Rn. 67 bis 71).

 

48        Ebenso sind die Verpflichtungen aus Art. 9 DSGVO bei jeder unter diese Verordnung fallenden Verarbeitung personenbezogener Daten zu beachten, auch wenn nach Art. 88 Abs. 1 DSGVO erlassene „spezifischere Vorschriften“ vorliegen. Dieser Art. 9, der die Verarbeitung der dort aufgeführten besonderen Datenkategorien regelt, gehört nämlich zu Kapitel II der Verordnung, ebenso wie deren Art. 5 und 6, deren Anforderungen im Übrigen mit denen aus Art. 9 kumulierbar sind (vgl. in diesem Sinne Urteil vom 21. Dezember 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, Rn. 73 und 77 bis 79). Diese Auslegung steht darüber hinaus im Einklang mit dem Zweck von Art. 9 DSGVO, der darin besteht, einen erhöhten Schutz vor Datenverarbeitungen zu gewährleisten, die aufgrund der besonderen Sensibilität der betreffenden Daten einen besonders schweren Eingriff in die Grundrechte der betroffenen Personen darstellen können (vgl. in diesem Sinne Urteil vom 4. Oktober 2024, Lindenapotheke, C‑21/23, EU:C:2024:846, Rn. 89 und die dort angeführte Rechtsprechung).

 

49        Daher müssen in dem Fall, dass zum Recht eines Mitgliedstaats „spezifischere Vorschriften“ im Sinne von Art. 88 Abs. 1 DSGVO gehören, die von diesen Vorschriften erfassten Verarbeitungen personenbezogener Daten nicht nur die Voraussetzungen in Art. 88 Abs. 1 und 2 DSGVO, sondern auch die Voraussetzungen in den Art. 5, 6 und 9 dieser Verordnung in ihrer Auslegung durch die Rechtsprechung des Gerichtshofs erfüllen.

 

50        Nach alledem ist auf die erste Frage zu antworten, dass Art. 88 Abs. 1 und 2 DSGVO dahin auszulegen ist, dass eine nach Art. 88 Abs. 1 dieser Verordnung erlassene nationale Rechtsvorschrift über die Verarbeitung personenbezogener Daten für die Zwecke von Beschäftigungsverhältnissen bewirken muss, dass ihre Adressaten nicht nur die Anforderungen erfüllen müssen, die sich aus Art. 88 Abs. 2 dieser Verordnung ergeben, sondern auch diejenigen, die sich aus Art. 5, Art. 6 Abs. 1 sowie Art. 9 Abs. 1 und 2 der Verordnung ergeben.

 

Zur zweiten Frage

51        Mit seiner zweiten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 88 Abs. 1 DSGVO dahin auszulegen ist, dass im Fall einer in den Anwendungsbereich dieser Bestimmung fallenden Kollektivvereinbarung der Spielraum der Parteien dieser Kollektivvereinbarung bei der Bestimmung der „Erforderlichkeit“ einer Verarbeitung personenbezogener Daten im Sinne von Art. 5, Art. 6 Abs. 1 sowie Art. 9 Abs. 1 und 2 dieser Verordnung das nationale Gericht daran hindert, insoweit eine umfassende gerichtliche Kontrolle auszuüben.

 

52        Zunächst ist darauf hinzuweisen, dass, wie in Rn. 41 des vorliegenden Urteils ausgeführt, die Mitgliedstaaten, die die ihnen durch Art. 88 DSGVO eingeräumte Befugnis ausüben, von ihrem Ermessen unter den Voraussetzungen und innerhalb der Grenzen der Bestimmungen dieser Verordnung Gebrauch machen und somit dafür Sorge tragen müssen, dass die „spezifischeren Vorschriften“, die sie in ihre innerstaatliche Rechtsordnung einfügen, nicht gegen den Inhalt und die Ziele der DSGVO verstoßen. Diese Vorschriften müssen u. a. darauf abzielen, ein hohes Schutzniveau für die Freiheiten und Grundrechte der Beschäftigten bei der Verarbeitung ihrer personenbezogenen Daten im Beschäftigungskontext zu gewährleisten.

 

53        Zum Umfang der gerichtlichen Kontrolle, die in Bezug auf solche spezifischen Vorschriften ausgeübt werden kann, hat der Gerichtshof bereits entschieden, dass es Sache des angerufenen nationalen Gerichts ist, das für die Auslegung des nationalen Rechts allein zuständig ist, zu beurteilen, ob diese Vorschriften die insbesondere in Art. 88 DSGVO vorgegebenen Voraussetzungen und Grenzen beachten. Gemäß dem Grundsatz des Vorrangs des Unionsrechts ist das vorlegende Gericht, sollte es zu der Feststellung gelangen, dass die betreffenden nationalen Bestimmungen diese Voraussetzungen und Grenzen nicht beachten, dazu verpflichtet, diese Bestimmungen unangewendet zu lassen. In Ermangelung spezifischerer Vorschriften, die den Anforderungen von Art. 88 DSGVO genügen, wird die Verarbeitung personenbezogener Daten im Beschäftigungskontext unmittelbar durch diese Verordnung geregelt (vgl. in diesem Sinne Urteil vom 30. März 2023, Hauptpersonalrat der Lehrerinnen und Lehrer, C‑34/21, EU:C:2023:270, Rn. 80, 82 bis 84 und 89).

 

54        Diese Erwägungen gelten auch für die Parteien einer Kollektivvereinbarung im Sinne von Art. 88 DSGVO wie der im Ausgangsverfahren in Rede stehenden. Wie die Europäische Kommission in ihren schriftlichen Erklärungen im Wesentlichen ausgeführt hat, müssen die Parteien einer Kollektivvereinbarung nämlich über einen Spielraum verfügen, der insbesondere hinsichtlich seiner Grenzen dem den Mitgliedstaaten zuerkannten Ermessen gleichwertig ist, da sich die „spezifischeren Vorschriften“ im Sinne von Art. 88 Abs. 1 DSGVO u. a. aus Kollektivvereinbarungen ergeben können. Im 155. Erwägungsgrund dieser Verordnung heißt es auch, dass solche Vorschriften im Recht der Mitgliedstaaten oder in Kollektivvereinbarungen, einschließlich „Betriebsvereinbarungen“, vorgesehen werden können.

 

55        Ungeachtet des Spielraums, den Art. 88 DSGVO den Parteien einer Kollektivvereinbarung einräumt, muss sich daher die gerichtliche Kontrolle einer solchen Kollektivvereinbarung ebenso wie die einer nach dieser Bestimmung erlassenen Vorschrift des nationalen Rechts ohne jede Einschränkung auf die Einhaltung aller Voraussetzungen und Grenzen erstrecken können, die die Bestimmungen dieser Verordnung für die Verarbeitung personenbezogener Daten vorschreiben.

 

56        Sodann ist darauf hinzuweisen, dass eine solche gerichtliche Kontrolle speziell auf die Prüfung gerichtet sein muss, ob die Verarbeitung solcher Daten im Sinne der Art. 5, 6 und 9 DSGVO „erforderlich“ ist. Mit anderen Worten kann Art. 88 DSGVO nicht dahin ausgelegt werden, dass die Parteien einer Kollektivvereinbarung über eine Beurteilungsbefugnis verfügen, die es ihnen erlauben würde, „spezifischere Vorschriften“ einzuführen, die dazu führen, dass diese Voraussetzung der Erforderlichkeit weniger streng angewandt wird oder gar darauf verzichtet wird.

 

57        Zwar verfügen, wie das vorlegende Gericht und Irland im Wesentlichen ausgeführt haben, die Parteien einer Kollektivvereinbarung im Allgemeinen über gute Grundlagen für die Beurteilung, ob eine Datenverarbeitung in einem konkreten beruflichen Kontext erforderlich ist, da diese Parteien gewöhnlich umfangreiche Kenntnisse in Bezug auf die spezifischen Bedürfnisse im Beschäftigungsbereich und im betreffenden Tätigkeitsbereich haben. Ein solcher Beurteilungsprozess darf jedoch nicht dazu führen, dass diese Parteien aus Gründen der Wirtschaftlichkeit oder Einfachheit Kompromisse schließen, die das Ziel der DSGVO, ein hohes Schutzniveau der Freiheiten und Grundrechte der Beschäftigten bei der Verarbeitung ihrer personenbezogenen Daten zu gewährleisten, in unzulässiger Weise beeinträchtigen könnten.

 

58        Daher wäre eine Auslegung von Art. 88 DSGVO dahin, dass die nationalen Gerichte in Bezug auf eine Kollektivvereinbarung keine umfassende gerichtliche Kontrolle ausüben können, insbesondere um zu prüfen, ob die von den Parteien dieser Kollektivvereinbarung geltend gemachten Rechtfertigungsgründe die Erforderlichkeit der sich aus dieser Vereinbarung ergebenden Verarbeitung personenbezogener Daten belegen, in Anbetracht des in der vorstehenden Randnummer des vorliegenden Urteils genannten Schutzziels nicht mit dieser Verordnung vereinbar.

 

59        Schließlich ist darauf hinzuweisen, dass das angerufene nationale Gericht, sollte es nach seiner Prüfung feststellen, dass einzelne Bestimmungen der betreffenden Kollektivvereinbarung die von der DSGVO vorgeschriebenen Voraussetzungen und Grenzen nicht beachten, diese Bestimmungen gemäß der in Rn. 53 des vorliegenden Urteils angeführten Rechtsprechung unangewendet lassen müsste.

 

60        Nach alledem ist auf die zweite Frage zu antworten, dass Art. 88 Abs. 1 DSGVO dahin auszulegen ist, dass im Fall einer in den Anwendungsbereich dieser Bestimmung fallenden Kollektivvereinbarung der Spielraum der Parteien dieser Kollektivvereinbarung bei der Bestimmung der „Erforderlichkeit“ einer Verarbeitung personenbezogener Daten im Sinne von Art. 5, Art. 6 Abs. 1 sowie Art. 9 Abs. 1 und 2 dieser Verordnung das nationale Gericht nicht daran hindert, insoweit eine umfassende gerichtliche Kontrolle auszuüben.

 

Zur dritten Frage

61        In Anbetracht der Antwort auf die zweite Frage braucht die dritte Frage nicht beantwortet zu werden.

stats